防火墙技术发展研究

防火墙技术发展研究（精选十篇）

防火墙技术发展研究 篇1

关键词：包过滤,代理服务,状态检测防火墙,分布式防火墙,嵌入式防火墙

1 引言

由于计算机网络具有开放性、联结形式多样性、共享性等特征,因此,安全问题是网络诞生之日起就面临的一个挑战。防火墙作为目前最成熟、最早产品化的网络安全机制,在保护计算机网络安全中起着至关重要的作用。

防火墙是指设置在可信任网络和不可信任网络之间的一道执行访问控制策略的安全防御系统,它通过监测和控制跨越防火墙的数据来实现对可信任网络的安全保护,简单的概括就是,对网络进行访问控制。

2 防火墙的传统技术

防火墙有包过滤路由器(Packet Filtering Rout)、应用层网关(Application Gateway)两类基本模型,它们涉及的关键技术主要是包过滤[1](Packet Filtering)、代理服务(Proxy Service)[2]。

2.1 包过滤

包过滤是防火墙的初级产品,是一种完全基于网络层的安全技术。工作原理是用户在网络中传输的信息被分割成具有一定大小和长度的“数据包”,每一个数据包的包头中都会包含该数据包的源IP地址、目标IP地址、传输协议、TCP/UDP协议的源端口号、目的端口号、ICMP消息类型等信息,这些包采用存储转发技术逐一发送到目标主机,包过滤防火墙根据定义好的过滤规则检查每个通过它的数据包,以确定其是否与过滤规则相匹配,从而决定是否允许该数据包通过。过滤规则是一个在系统内部设置的访问控制表(Access Control Table),它是根据数据包的包头信息来制定的。

包过滤具有简单实用、实现成本低、运行速快、应用透明而且具有较强的通用性等优点。同时,包过滤技术也存在明显的不足。

1)智能性不强,实时性的有用服务也有可能被拒绝。

2)由于访问控制表中的过滤规则数目不可能无限增加,各种安全要求不可能充分满足,而且随着过滤规则数目的增加,设备及网络性能均会受到很大地影响,从而产生流量瓶颈等问题。

3)是一种基于网络层的安全技术,无法实现用户认证,对基于应用层的威胁无防范能力,如恶意的Java小程序以及电子邮件中附带的病毒等。

4)不能跟踪记录,无法从日志中查找攻击信息。

2.2 代理服务

代理服务是针对数据包过滤的缺点而引入的防火墙技术,它实质上是设置在Internet防火墙网关上有特殊功能的应用层代码,能够对数据流进行监控、过滤、日志(keg)和审计(audit)等,而且能隐藏内部IP地址,能够实现较严格的安全策略,大大提高了网络的安全性。

代理服务器位于客户机与服务器之间,是一个“中继站”,客户机与服务器的通信,通过代理服务器来实现。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器获取取数据,然后再由代理服务器将数据传输给客户机。每个代理只对已经确定的应用协议提供服务,并且可以采取一些安全策略。这样一来就避免了客户机与服务器的直接连接,使得攻击者更加难以发现网络的真实端口。一般情况下几个代理服务相互无关,即使某个代理服务工作发生问题,只需将它卸载即可,不会影响其它的代理服务模块。

代理防火墙的优点是安全性较高,通过对应用层进行监控,对付基于应用层的侵入和病毒十分有效。其缺点是对网络层的保护较弱,对用户不透明,对系统的性能有较大的影响,而且代理服务器对所有应用实时进行设置,增加了系统管理的复杂度。一旦防火墙发生了问题,被保护的网络与外部网络就无法连接。

3 新一代防火墙

当前网络安全的三大问题是:以拒绝访问(DDOS)为主要目的的网络攻击,以蠕虫(Worm)为主要代表的病毒传播,以垃圾电子邮件(SPAM)为代表的内容控制,这三大安全问题覆盖了网络安全方面的绝大部分问题。传统防火墙基于物理上的拓扑结构,已不能满足网络的发展需要,于是随后出现了以状态检测防火墙(Stateful Inspection Firewall)、分布式防火墙(Distributed Firewall,DFW)、嵌入式防火墙(Embedded Firewall,EFW)为代表的新一代防火墙技术。

3.1 状态检测防火墙

状态检测防火墙采用的是一种基于连接的技术,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,来决定数据流的通过还是拒绝。

当数据包到达防火墙时,状态检测引擎会检测到这是一个发起连接的初始数据包(由SYN标志),防火墙先将这个数据包和规则表里的规则依次进行比较,如果匹配,那么就意味着通过了这个数据连接请求,那么本次会话被记录到状态监测表里。这时需要设置一个时间溢出值,一般将其值设定为60秒。然后防火墙期待一个返回的确认连接的数据包,当接收到此数据包的时候,防火墙将连接的时间溢出值设定为3600秒。如果在检查了所有的规则后,拒绝此次连接,那么该包被丢弃。状态监测表随后检测被放行的数据包,如果匹配,该数据包被放行,反之则被丢弃。其工作流程如图1所示。

当状态监测模块监测到一个FIN(连接终止)或一个RST(连接复位)包的时候,则时间溢出值从3600秒减至50秒。在这个周期内如果没有数据包交换,这个状态检测表项将会被删除,连接被关闭;如果有数据包交换,这个周期会被重新设置到50秒。如果继续通讯,这个连接状态会被继续地以50秒的周期维持下去。这种设计方式可以避免一些DOS攻击,例如,一些人有意地发送一些FIN或RST包来试图阻断这些连接。

状态检测防火墙与传统防火墙相比的优点。

1)安全性高。状态检测防火墙在数据链路层和网络层之间截取数据包,因为数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,这样确保了防火墙能够截取和检查所有通过网络的原始数据包。

2)效率高。通过防火墙的所有数据包都在协议栈的低层处理,这样减少了高层协议头的开销;另外一旦某个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。

3)应用广泛。不仅支持基于TCP的应用,而且支持的基于无连接协议的应用(如RPC)和基于的UDP的应用(如WAIS和Archie)等。

3.2 分布式防火墙

Steven M.Bellovin[3]首次提出了分布式防火墙的概念“DFW是这样的一个方案:策略集中订制,在各台主机上执行”。分布式防火墙是一个系统,基本构件如下。

1)网络防火墙(Network Firewall)

网络防火墙只处理与整个内部网络相关的安全问题,规则较少,因而可以高效运行。它主要是用于内部网与外部网之间,以及内部网各子网之间的防护。与传统边界防火墙相比,它增加了对内部子网之间的安全进行防护的功能,这样整个网络的安全防护体系就更加可靠和全面。

2)主机防火墙(Host Firewall)

主机防火墙主要包括包过滤引擎、下载策略模块、上传日志模块、加密认证模块等。它主要是驻留在终端主机中,在应用层对网络中的服务器和用户PC机进行防护,负责策略的实施。它保证网络内部的安全访问,克服了传统防火墙的在此方面的不足。

3)中心管理(Central Managerment)

中心管理是分布式防火墙系统的核心和重要特征之一,负责总体安全策略的策划、管理、分发及日志的汇总。主机防火墙可以根据安全性的不同要求添加布置在网络中的任何需要的位置上,但总体安全策略又是统一策划和管理的。这样防火墙的管理就具有了灵活性。分布式防火墙构件的相互协调作用从根本上解决了传统防火墙的功能单一、不可靠、性能差等的缺点,并能够根据网络需要对整个防火墙进行最佳配置,使得整个网络的运行更加安全,更加有效。

但目前,分布式防火墙还存在着不能对用户完全透明和即插即用等技术瓶颈[4]。

3.3 嵌入式防火墙

由于操作系统自身不完善等原因,目前许多基于软件实现的“防火墙”都是不安全的,存在着被攻击者绕过的可能性。为此,Charles和Tom[5]提出了嵌入式分布式防火墙的方案,简称嵌入式防火墙。嵌入式防火墙网络拓扑结构见图2。

嵌入式防火墙是将防火墙固化在网卡上,所有进出网卡的数据包都受到防火墙安全策略的控制,安全策略的制定和分发是由策略服务器完成。这种基于硬件来实现的防火墙具有不依赖主机操作系统、不能被绕过和管理灵活的特点,是一种更加完善的安全架构,能够有效检测以SYN Flooding为代表的DDOS攻击[6]。

每一个EFW就是一块带有防火墙功能的网络连接卡(Network Interface Card,NIC),NIC在硬件一级实现对网络包的实时过滤,网卡上有自己的处理器和存储区,独立于主机操作系统工作。所有的EFW NIC构成分布式防火墙系统的策略执行组件,策略服务器负责管理这些EFW NIC。内部网络上的每一台PC、工作站或是服务器,包括策略服务器自身,均受到分布式防火墙的保护。然而,使用分布式防火墙并不意味着完全放弃传统边界防护墙。边界防火墙可以作为内部网络对外的第一道屏障,可以有效地将大量的外部攻击抵御于内部网络之外,可以减少内部网络的数据流量和EFW NIC的工作,因此在实际应用中,采用两者结合的方法,可以获得更高的安全性能。

4 结束语

新一代网络技术不断涌现,如IPv6网络、P2P应用、3G网络等等,给防火墙带来新的挑战。而目前的防火墙技术在性能上还存在着诸多问题,未来防火墙必然朝着智能化、多功能化、高速更安全的方向发展。

参考文献

[1]Keith E.Strassberg,Richard J.Gondek,Gary Rollie.防火墙技术大全[M].李昂,译.北京:机械工业出版社,2003.

[2]郝文江.基于防火墙技术的网络安全防护[J].通信技术,2007,40(7):24-26.

[3]Steven M.Bellovin.Distributed Firewalls[OL].http://www.cs.columbia.edu/~smb/papers/distfw.html,1999.

[4]史力力,薛质,王轶骏.分布式防火墙与入侵检测联合系统的设计[J].信息安全与通信保密,2008,2:65-67.

[5]Payne C,Markham T.Architecture and Applications for a Distributed Embedded Firewall[C].New Orleans,Louisiana:17th Annual Com-puter Security Applications Conf,2001.

防火墙的技术与发展 篇2

摘 要

防火墙作为一种网络或系统之间强制实行的访问控制机制，是确保网络安全的重要手段，有基于通用操作系统设计的防火墙，也有基于专用操作系统设计的防火墙。由于Linux源代码的开放性，所以，Linux成为研究防火墙技术的一个很好的平台。本文介绍 Linux的防火墙技术 Netfilter/Iptables 在 Linux 内核中的具体实现。讨论了Linux内核防火墙套件Netfilter 实现的一些基本技术：包过滤。Linux下常用的防火墙规则配置软件Iptables；从实现原理、配置方法以及功能特点的角度描述了Linux防火墙的功能；并给出了Linux下简单防火墙的搭建。

关键字：防火墙，Netfilter，Iptables

I 信息技术应用与管理专业毕业论文

ABSTRACT

The firewall took between one kind of network or the system forces the access control mechanism which implements, is guarantees the network security the important method, has based on the general operating system design firewall, also has based on the special-purpose operating system design firewall.As a result of Linux source code openness, therefore, Linux becomes the research firewall technology a very good platform.This article introduces Linux firewall technology Netfilter/Iptables in Linux essence concrete realization.Discussed Linux essence firewall set of Netfilter realization’s some basic technologies: the package filter.Under Linux commonly used firewall rule disposition software Iptables;from the realization principle, the disposition method as well as the function characteristic angle described the Linux firewall function;and build up a simple firewall in Linux.Key words: Firewall, Netfilter, Iptables

II 信息技术应用与管理专业毕业论文

目录

摘 要………………………………………………………I ABSTRACT………………………………………………………II 第一章 绪 论…………………………………………………1

1.1 前言1 1.2开发背景1

第二章 防火墙技术 2

2.1防火墙概述2 2.2包过滤技术 2 第三章 Netfilter/Iptables 3 3.1 Netfilter框架4

3.1.1 Netfilter框架的介绍4 3.1.2数据包流经网络协议栈的分析4 3.2 管理工具：Iptables5

3.2.1 Iptables 防火墙规则配置管理工具5 3.2.1 Iptables工具的应用方法5 第四章 Linux下简单防火墙的搭建6 4.1防火墙搭建的战略规划6 4.2 Iptables规则脚本7 第五章 总结与展望8 5.1 应用前景8 5.2 总体体会8 参考文献9 致 谢10

III 信息技术应用与管理专业毕业论文

第一章 绪 论

1.1 前言

Linux 可以追溯到UC Berkeley分校的Unix，因此从某种意义上讲，Linux本身就是一种网络操作系统，Linux在实现网络功能方面有着独特的优势。防火墙的初步功能首次出现在Linux 1.1内核中，到Linux 2.0内核时，其部件IPFwadm对防火墙部分已进行了很大改进和增强；Linux 2.2.x内核发布时，IPchains和单独开发的NAT等模块已经可以比较完整地实现内核IP防火墙功能，从Linux的2.4内核开始的Netfilter最终废除了Ipchains，其主要原因有：IPchain是以内核级运行的C及C++代码，没有很好地提供从用户空间访问IPchains的接口，限制了IPchains的可扩展性。

1.2 开发背景

在网络安全问题日趋严峻的今天，防火墙作为第一道防线起着关键的作用。防火墙可以对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。从而对防火墙的研究成为研究热点。信息技术应用与管理专业毕业论文

第二章 防火墙技术

2.1防火墙概述

防火墙是一个或一组实施访问控制策略的系统。它在内部网络（专用网络）与外部网络（功用网络）之间形成一道安全保护屏障，防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时也防止这类非法和恶意的网络行为导致内部网络运行遭到破坏。它基本功能是过滤并可能阻挡本地网络或者网络的某个部分与Internet之间的数据传送（数据包）。防火墙的主要功能包括:

1．防火墙本身支持一定的安全策略。2．提供一定的访问或接入控制机制。3．容易扩充、更改新的服务和安全策略。4．具有代理服务功能，包含先进的鉴别技术。5．采用过滤技术，根据需求来允许或拒绝某些服务。

6．防火墙的编程语言应较灵活，具有友好的编程界面。并用具有较多的过滤属性，包括源和目的IP地址、协议类型、源和目的的TCP/UDP端口以及进入和输出的接口地址。

2.2 包过滤技术

包过滤技术是防火墙的一种最基本的实现技术，具有包过滤技术的装置是用来控制内、外网络间数据流的流入和流出，包过滤技术中的数据包大部分是基于TCP/IP协议平台的，其中包括网络层的IP数据包，运输层的TCP和UDP数据包以及应用层的FTP、Telnet和HTTP等应用协议数据包三部分内容。信息技术应用与管理专业毕业论文

过滤技术依靠以下三个基本依据来实现“允许或不允许”某些包通过防火墙：

1．包的目的地址及目的端口； 2．包的源地址及源端口； 3．包的传输协议。信息技术应用与管理专业毕业论文

第三章 Netfilter/Iptables

3.1 Netfilter框架

3.1.1 Netfilter框架的介绍

Netfilter是Linux 2.4实现的防火墙框架，Netfilter提供了一个抽象、通用化的框架定义一个子功能实现的就是包过滤子系统。Netfilter由一系列基于协议栈的钩子组成，这些钩子都对应某一具体的协议。每一个协议对应的钩子函数都定义在协议具体的头文件中，如对应于IPv4的钩子函数就定义在内核头文件：/Linux/netfilter_ipv4.h中。

3.1.2 数据包流经网络协议栈的分析

1、收到数据，中断发生

通常的，当一块网卡接收到属于其自己MAC地址或者广播的以太网络数据帧时，就会引发一个中断，网卡驱动的中断处理程序获得机会，通过I/O，DMA复制网络帧数据到内存中。然后网络驱动程序将创建一个skb结构，将网络帧数据填充，设置时间戳，区分类型后，将skb送入对应的包接收队列（其实就是添加到系统中的一个双向链表中）。

2、数据接收软中断

内核调用kernel/softirq.c:do_softirq()执行数据包接收软中断(NET_RX_SOFTIRQ)，将skb从CPU的接收队列中取出来，交给对应IPv4协议处理程序。协议处理程序将对传入的数据包进行一些完整性监测，如果监测失败，则将数据包丢弃。通过完整性监测以后，将进行一些必要的清理操作，去掉可能多余的填充数据，并且重新计算数据包的长度。信息技术应用与管理专业毕业论文

3.2 管理工具：Iptables

3.2.1 Iptables 防火墙规则配置管理工具

Netfilter框架在内核中主要负责PACKET的获得和重新注入，而对PACKET的匹配预处理主要由规则表来完成。

当我们用Iptables命令配置工具配置一条规则后，Iptables应用程序会运用iptables-standalone.c::main()::do_command()，然后再调用libiptc库提供的iptc_commit()函数向核心提交该操作请求。该函数根据请求会设置一个struct ipt_replace结构，用来描述规则所涉及的表和HOOK点等信息，并在其后附接当前这条规则（一个struct ipt_entry结构）。从而将命令行输入转换为程序可读的格式。组织好这些数据后，iptc_commit()调用setsockopt()系统调用来启动核心处理这一请求：

setsockopt(sockfd, //通过socket创建的原始套接字，TC_IPPROTO，//即IPPROTO_IP SO_SET_REPLACE, //即IPT_SO_SET_REPLACE repl，//struct ipt_replace结构

sizeof(*repl)+(*handle)->entries.size)3.2.1 Iptables工具的应用方法

一个Iptables命令基本上包含如下五部分（1）希望工作在哪个表上（2）希望使用该表的哪个链

（3）进行操作（插入、添加、删除、修改）（4）对特定规则的目标动作（5）匹配数据报条件 信息技术应用与管理专业毕业论文

第四章

Linux下简单防火墙的搭建

4.1防火墙搭建的战略规划

包过滤防火墙的规则是由一组接收和禁止规则列表组成，规则列表中定义了数据包是否可以通过网络接口。防火墙规则通过数据包头的字段是否允许一个数据包通过。当默认策略设置为禁止一切时，若数据包头的字段与规则匹配，则路由器将该数据包转发至指定的目的地，否则将该数据包丢弃或被阻止并反馈一个错误状态信息给发出端的计算机。

一、输入包过滤

1、远程源地地址过滤

在包过滤的层次上，数据包头中的源地址是识别IP数据包发送者的唯一方法。

（1）假冒本地IP地址

从外部输入的数据包声称是来自本地计算机的数据包，因为源地址是唯一可获得的信息，而它可以被修改，所以这是用户在包过滤的层次上唯一检测到的欺骗形式。

（2）回环接口地址

回环地址是TCP/IP协议在本地网络服务使用的内部专用地址，目的是将网络通信请求或处理通过回环地址发给本机的网络服务，而不许发送到网络上。通常，回环网络的网络地址是127.0.0.0，回环地址是127.0.0.1，主机名使用localhost，回环网络标识lo。

2、本地目的地址过滤

网卡只接收发给本机的数据包和广播数据包。也就是说，网卡将滤掉除广播数据包以外的，目的地址不是本机地址的普通数据包。例如，地址信息技术应用与管理专业毕业论文

255.255.255.255是对网络上的所有主机进行广播。

二、输出包过滤

输出消息过滤的重要应用层运行局域网服务时，不把本地数据包和本地系统信息泄漏到因特网上。

1、本地源地址过滤

通过本地源地址过滤，可以防止本地用户仿造IP地址，欺骗其他的网站。

2、远程目的地址过滤

对于输出数据包，需要限定特定类型的数据包，这个目的地址只能是特定的远程网络或单机。此时，防火墙规则将定义这些数据包允许到达的目的地必须是有明确的IP地址或限定的IP地址范围内的目的地。

4.2 Iptables规则脚本

1.删除任何已存在的规则。记住在定义任何一个防火墙规则前，都要删除存在于所有链的规则。命令如下[3][4][6]： iptables-F 2.配置默认的拒绝规则。实际应用中配置的基本原则是：先拒绝所有的服务，然后再根据用户的需要设置相应的服务。参考配置程序如下： iptables-P INPUT DROP iptables-P OUTPUT DROP iptables-P FORWARD DROP 信息技术应用与管理专业毕业论文

第五章 总结与展望

5.1 应用前景

Netfilter/Iptables的包过滤架构是Linux内核开发人员通过对Ipfwadm/Ipchains等早期的包过滤程序的开发经验和全世界用户反馈的分析，重新设计，改造而形成的相对成熟的Linux内核包过滤框架。

本文从理论和实践两方面对Linux2.4.x内核对防火墙的处理作了分析，目的是使一般小型企业针对自己实际情况，设计专门的防火墙成为可能。

5.2 总体体会

经过几个月的磨炼和努力，总结出只有在强压与竞争中才会有意想不到的收获和进步。

毕业设计培养了作者本人综合运用所学的基础理论，基本知识和基本技能，分析解决实际问题的能力，它在某种程度上是前面各个学习环节的继续，深化和检验。认为自身在这次毕业设计中培养了以下四方面的能力：

 综合运用所学专业基本理论，提高查阅文献、论文和资料的能力。提高自身进行技术总结和撰写论文的能力。

编程的过程是不断学习的过程，当有更好、更简洁的程序时，要注意扬弃的结合。



 设计既要重视分工，重视设计作品的完整性，重视风格的统一性。要注重编程过程中的细节，有时细小的失误也会形成极大的麻烦。

毕业设计让作者本人体会到科学的精神。面对随时而来的挫折，自己不断的给自己鼓劲，克服困难，勇往直前。信息技术应用与管理专业毕业论文

参考文献

[1] 博嘉科技主编．Linux防火墙技术探秘．国防工业出版社，2002 [2] James F.Kurose,，Keith W.Ross 著．计算机网络------用自顶向下方法描述因特网特色．人发邮电出版社，2004 [3] 张斌等编．Linux网络编程．清华大学出版社，2000 [4] 刘伟，龚汉明，朱青编著．UNIX基础教程．清华大学出版社，2003 [5] 张琳等编著．网络管理与应用．人民邮电出版社，2000 [6] 孙建华等编著． 网络系统管理------Linux实训篇．人民邮电出版社,2003 [7] W.Richard Stevens著．TCP/IP详解卷1：协议．机械工业出版社，2006 [8] 鸟哥编著．LINUX私房菜服务器架设篇．科学出版社，2005 信息技术应用与管理专业毕业论文

致 谢

首先衷心地感谢指导老师王则林，每星期的指导与教学，以及平时对我的不懈支持和帮助，他对我的谆谆教诲和诚挚关怀, 严谨治学的态度、睿智的学者风度和敏锐的洞察力令我敬佩，并将会使我终生受益。才使我的毕业设计顺利完成。

感谢与我同组毕业设计的同学们，他们良好的合作精神以及认真严谨的科学态度深深地感染了我，这也是我们毕业设计能够顺利完成的保证。

浅析HIPS系统防火墙技术与发展 篇3

发展轨迹

HIPS(主机入侵防御体系)，被网友俗称为“系统防火墙”(非XPSP2防火墙)，是通过判断规则、拦截行为等方式，为系统加载的一层“保护膜”。网络防火墙与HIPS的区别是，当程序需要上网时会被网络防火墙拦截询问是否放行，拦截平台仅限于互联网出口与入口；而HIPS对应范围更广，通过AD+RD+FD防御体系，阻止程序调用危险的API。

主动防御与HIPS的发展

谈到HIPS不得不谈它与主动防御之间的关系。大约在3、4年前。杀毒软件压根没有HIPS主动防御，顶多就是一个再简单不过的文件监控。经历了熊猫烧香的洗礼后逐渐受人重视，业内非常看好由微点带来拦截、分析、清除体系。2007年，主动防御技术得到了蓬勃发展，2008年主动防御已经遍地开花，最后还成了不少厂家的宣传口号。

主动防御与HIPS的关系类似于集合中的交集、并集，它们有太多相似之处，通常情况下的不同之处在于，主动防御能删除木马病毒、注册表残留“自行善后”。关于主动防御与HIPS的技术帖网上很多，而我这里只想强调的因素是“人”。

从用户的角度去看待主动防御与HIPS

从入门难度上讲，HIPS大于主动防御。HIPS对于用户积累有要求，相应的用户入手难度会增大。但我们要看到，软件BUG纰漏难免，智能化较高的主动防御未必能超过高手使用HIPS自我判断。

从操作易用上就很难判断了!你可以说，我用HIPS新手模式啊，我用的是智能型的HIPS。有些软件的主动防御功能的繁琐是客观存在的，甚至超过了常用的HIPS!另一方面，即使两款均有主动防御技术的软件，也未必有同样好的操作体验!为何呢?

防火墙技术及其发展趋势 篇4

1 防火墙技术

1.1 防火墙概念

防火墙的英文名为“Fire Wall”, 它是目前一种最重要的网络防护设备。防火墙是在内部网与外部网之间实施安全防范的系统, 可以被认为是一种访问控制机制, 根据网络决策人员及网络专家共同决定本网络的安全策略, 确定哪些内部服务允许外部访问, 以及允许哪些外部服务访问内部服务。准确的说它是不同网络或网络安全域之间信息的唯一出入口, 能根据安全政策控制 (允许、拒绝、检测) 出入网络的信息流, 且本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。在逻辑上, 防火墙是一个分离器, 一个限制器, 同时也是一个分析器, 有效的监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。

1.2 防火墙分类

防火墙技术可根据基本原理和防范方式的不同分为以下几种基本类型:包过滤型、网络地址转换-NAT、代理服务和状态监测器。

1.2.1 包过滤型

数据包过滤是在IP层实现的, 基于包过滤技术的防火墙以单个的IP包作为处理对象, 根据源、宿主机的IP地址和端口号对网络连接进行限制, 一般通过网络管理员在防火墙设备中 (如路由器) 中设置访问列表 (access-list) 来实现。目前几乎所有的路由器都内嵌这种功能。PC机上同样也可以安装包过滤软件。进行包过滤的标准通常就是根据安全策略制定的, 其核心是安全策略即过滤算法的设计。

基于包过滤的防火墙的优点是不需要另外投资去购买, 当前市场上大多数路由器产品除具有路由选择功能外, 同时具有包过滤器的功能。而且成本低、速度快、实现方便, 但由于这种防火墙比较简单, 在安全防御方面的效果也较差, 主要表现在:无法处理应用层发起的攻击;对于一些应用, 如文件传输协议 (FTP) , 难以控制和处理, 从而无法进行有效的防御;易受到IP分片假冒 (IP fragment spoof) 方式的攻击。因此, 对于一个复杂的安全策略难以利用包过滤技术实现, 同时也容易造成配置不当。

1.2.2 网络地址转换-NAT

NAT英文全称是“Network Address Translation”, 中文意思是“网络地址转换”, 它是一个IETF (Internet Engineering Task Force, Internet工程任务组) 标准, 允许一个整体机构以一个公用IP地址出现在Internet上。顾名思义, 它是一种把内部私有网络地址翻译成合法网络IP地址的技术。所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因, 网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击。如果以为某种原因公共IP地址资源比较短缺的话, NAT可以使整个内部网络共享一个IP地址。可以启用基本的包过滤防火墙安全机制, 因为所有传入的包如果没有专门指定配置到NAT, 那么就会被丢弃, 内部网络的计算机就不可能直接访问外部网络。NAT的缺点和包过滤防火墙的缺点是一样的, 虽然可以保障内部网络的安全, 但它也有一些类似的局限。而且内网可以利用现在流传比较广泛的木马程序通过NAT做外部连接, 就像它可以穿过包过滤防火墙一样的容易。

1.2.3 代理型

基于代理的防火墙源于人们对越来越不可靠网络的信息安全需求。由于包过滤防火墙可以按照IP地址禁止未授权者的访问。但是它不适合企业网来控制内部人员访问外界的网络, 对于这样的企业来说代理是更好的选择。所谓代理服务, 即防火墙内外的计算机系统应用层的链接是在两个终止于代理服务的链接来实现的, 这样便成功的实现了防火墙内外计算机系统的隔离。代理服务是设置在Internet防火墙网关上的应用, 是在网络管理员允许或拒绝下的、特定的应用程序或者特定服务。同时, 还可应用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务通常有单独的计算机和专有的应用程序承担。

代理型防火墙的优点是既可以隐藏内部IP地址, 也可以给单个用户授权, 即使攻击者盗用了一个合法的IP地址, 他也通不过严格的身份认证。因此代理型防火墙比包过滤防火墙具有更高的安全性。然而, 这种技术也有其自身的缺陷, 具体为占用大量的CPU和内存资源, 因此代理服务器能够支持的连接容量有限;系统的吞吐量较低, 时延较长;代理类型多, 管理困难, 缺乏必要的灵活性;依靠现有操作系统, 系统漏洞成为其无法克服的缺陷。

1.2.4 状态监视器

状态监视器作为防火墙技术其安全特性最佳, 它采用了一个在网关上执行网络安全策略的软件引擎, 称之为检测模块。检测模块在不影响网络正常工作的前提下, 采用抽取相关熟虑的方法对网络通信的各层实施监测, 抽取部分数据, 即状态信息, 并动态的保存起来作为以后制定安全决策的参考。检测模块支持多种协议和应用程序, 并可以很容易的实现应用和服务的扩充。与其他安全方案不同, 当用户访问到达网关的操作系统前, 状态监视器要抽取有关数据进行分析, 结合网络配置和安全规定作出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定, 安全报警器就会拒绝该访问, 并坐下记录向系统管理器报告。其缺点是状态监测器的配置非常繁琐, 而且运行中会降低网络速度。

除了这四种基本类型的防火墙外, 还有一些由此而衍生的其他变形的防火墙。

1.3 防火墙的局限性

需要说明的是网络的安全性通常是以网络服务的便利、开放和灵活为代价的。对防火墙的设置也一样, 由于防火墙的隔离作用, 一方面加强了内部网络的安全性, 另一方面却使内部网络和外部网络的信息数据交流受到相当的阻碍, 必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部网络的信息数据交流, 这样不但增加了网络管理的费用开销, 而且也减慢了信息的传递速度。从性能角度奖, 防火墙技术的致命弱点在于数据在防火墙之间的更新是难题, 如果延迟太大将无法支持实时服务请求。

防火墙不是万能的, 它的安全保护能力也是有限的, 而且还存在这相当的局限性。

(1) 防火墙不能防范不经由防火墙的攻击。例如, 如果允许从受保护网络内部不受限制的使用调制解调器, 某些用户可以形成与Internet的直接的串行链路IP或者点对点连接, 从而绕过了防火墙, 造成一个潜在的后门;

(2) 防火墙不能防止受到病毒感染的软件或文件的传输, 现有的各类病毒、加密和压缩的文件种类繁多, 不能希望防火墙逐个扫描来查找病毒;

(3) 防火墙不能防止数据驱动式攻击, 当有些表面看来无害的数据被邮寄或复制到主机上并被执行发起攻击时, 就会反正数据驱动攻击;

(4) 对来自内部的攻击防火墙缺少足够的保护。

由于存在以上的问题, 因此要保护本地网络的安全, 应综合使用防火墙和其他的安全工具和技术。

2 防火墙技术的发展趋势

随着计算机网络安全日益受到人们的重视, 防火墙技术也得到了进一步发展, 主要体现在以下几个方面。

2.1 更多的采用多级过滤技术

所谓多级过滤技术, 是指防火墙采用多级过滤措施。并辅以鉴别手段。在分组过滤 (网络层) 一级, 过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级, 遵循过滤规则, 过滤掉所有禁止出或入的协议和有害数据包如nuke包、圣诞树包等;在应用网关 (应用层) 一级, 能利用FTP、SMTP等各种网关, 控制和监测Internet提供的所有通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术, 它可以弥补以上各种单独过滤技术的不足。

这种过滤技术在分层上非常清楚, 每种过滤技术对应于不同的网络层, 从这个概念出发, 又有很多内容可以扩展, 为的防火墙技术发展开辟一个广阔的天地。

2.2 功能集成

传统的防火墙以及结合传统技术的综合型防火墙, 概念很明确, 功能也相对来说比较单一。由于现在对安全的重视, 其他各项安全技术的应用越来越广泛, 例如数据加密、身份认证、反病毒、地址转换、VPN等。由于一个好的安全系统是一个综合应用安全技术的系统, 传统意义上的防火墙的布置, 往往伴随着各项安全技术的相应应用。所以, 目前防火墙往往结合了其他安全技术, 例如, 在进行访问控制的时候, 增加对访问身份合法性的确认;对经过防火墙的数据进行反病毒侦测, 想被保护的网络提供安全的数据, 可以克服数据驱动类型的攻击增强了防火墙的防护能力;数据加密技术与防火墙的结合, 使防火墙能够提供VPN服务等等。总之, 由于网络安全的综合性, 决定了防火墙在未来的发展中, 将结合越来越多的安全技术, 使其成为一个新型的综合安全系统。

2.3 防火墙的体系结构发展趋势

目前主要有基于ASIC的防火墙和基于网络处理器的防火墙。基于网络处理器的防火墙也是基于软件的解决方案, 它需要在很大程度上依赖于软件的性能, 但相对比较有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流。但是纯硬件的ASIC防火墙缺乏可编程性, 这就使得它缺乏灵活性, 从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性, 使其与软件更好的配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求, 这将是防火墙体系结构的发展趋势。

3 结束语

防火墙的这些发展趋势, 在实际的应用中, 往往是相互结合, 相互渗透的, 这样更能提高对网络的保护作用。由于计算机网络发展的迅猛势头和防火墙产品的更新步伐, 要全面展望防火墙技术的发展几乎是不可能的。以上的发展趋势, 只是防火墙众多发展方向中的一部分, 随着高新技术的出现和新应用的出现, 防火墙的发展必将出现更多的新的趋势。

摘要：防火墙是网络安全中重要的工具。简要论述了防火墙技术以及优点、缺点, 并讨论了防火墙安全技术的功能、主要技术、结构、策略和安全措施等几个方面的发展趋势。

关键词：防火墙,计算机网络,网络安全,防火墙技术

参考文献

[1]赵斌斌.网络安全与黑客工具防范[M].科学出版社, 2001:103.

[2]宋雁辉.Windows防火墙与网络封包截获技术[M].电子工业出版社, 2002.

[3]刘兵.Internet技术与应用教程[M].中国水利水电出版社.2003.

[4]魏江平.计算机网络安全与防火墙技术[J].微电子技术, 2003 (12) :50-52.

网络隔离和防火墙技术的比较研究 篇5

2012-8-6 21:20:21 文章来源：万方数据

摘要： 目前的防火墙大都依靠于对数据包的信息进行检查，检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头，要了解防火墙的具体架构。

关键词： 网络隔离防火墙

一、前言

随着Internet的飞速发展以及我国政府信息化为代表的电子政务的蓬勃发展，宽带网已经得到普及。业界电子商务的开展，海量的网络信息，[J趋丰富的网络功能使得“网上办公”条件已经成熟。办公信息化带来了办公效率质的飞跃，但办公信息化的安全，也极大地引起人们的关注和思考，相应的网络隔离技术与防火墙技术的应用研究引起了人们的高度重视。

二、网络隔离技术简介

（一）网络隔离技术的发展历程

网络隔离，英文名为Network Isolation，主要是指把两个或两个以上可路由的网络（如：TCP／IP）通过不可路由的协议（如：IPX／SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（ProtocolIsolation）。

（二）网络隔离技术原理

网络隔离产品采用了网络隔离技术，是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于两个独立主机系统之问，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，网络隔离产品从物理上隔离，阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。

（三）网络隔离设备的实现机制 网络隔离设备由内网处理单元、外网处理单元和专用隔离硬件组成。网络隔离硬件包括一个独立的固态存储单元和一个独立的调度和控制单元，内网处理单元和外网处理单元在同一时刻最多只有一个同固态存储单元建立非TCP／IP协议的数据连接，并通过私有协议进行数据的交换。

三、防火墙的体系架构介绍

目前的防火墙大都依靠于对数据包的信息进行检查，检查的重点是网络协议的信息。防火墙主要查看IP包中的IP包头、TCP包头、应用层包头以及数据加载的包头，要了解防火墙的具体架构，就需要分析检查它是哪一层协议的信息。根据OSI模型，防火墙架构包含以下几种：包过滤防火墙，电路网关防火墙，应用网关防火墙，状态检测包过滤防火墙和切换代理防火墙。防火墙是建立在内外网边界上的过滤封锁机制，内部网络被认为是安全和可信赖的，而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络。防火墙对网络安全的保护程度，很大程度上取决于防火墙的体系架构。随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。

四、防火墙存在的安全漏洞

防火墙设备侧重丁二网络层到应用层的策略隔离，操作系统、内部系统的漏洞、通用协议的缺陷等都成为不安哞：的潜在因素。首先由防火墙的体系架构可知，防火墙可能会产生网络层短路，从而导致伪造合法数据包带来的危害：防火墙还难以抵御数据驱动式攻击，即大量合法的数据包将导致网络阻塞而使止常通信瘫痪。其次，防火墙很难阻止由通用协议本身漏洞发起的入侵。第三，防火墙系统本身的缺陷也是影响内部网络安全的重要因素，当防火墙土机被控制后，内部受保护网络就会暴露无疑。第四，要使防火墙发挥有效的安全性，需要正确、合理地配置防火墙相关的安全策略，而配置的复杂程度不仅带来繁琐的工作量，同时也增加了配置不当带来的安全隐患。

五、安全性分析比较

（一）指导思想不同 1.防火墙的思路是在保障互联互通的前提下，尽可能安全；

2.网络隔离技术的思路是在保证必须安全的前提下，尽可能互联互通。

（二）体系架构不同

网络隔离产品一般为双机或三机系统，而防火墙由一台处理机组成，为单机系统。而网络隔离设备实现了0SI模型七层的断开和应用层内容的检查机制，因而不会产生网络层短路，消除了基于网络协议的攻击。

（三）安全规则配置的复杂程度不同

防火墙技术发展研究 篇6

关键词：计算机；网络安全；防火墙技术

中图分类号：TP393.08

由于计算机的应用，推进网络信息的进步，社会加强对计算机网络的应用力度，增加网络安全维护的压力。根据计算机网络的应用环境，充分发挥防火墙技术的优势，保障计算机网络资源的安全价值。防火墙技术的更新速度比较快，完全适应于现代计算机网络的发展，表现出可靠优势，为计算机网络运行提供安全保护的渠道。防火墙技术在计算机网络安全中得到广泛应用。

1 分析防火墙技术

防火墙技术的原理：按照预设条件监控计算机网络内的流通信息，对流通信息执行授权和限制服务，主动记录关联信息，分析信息的具体来源，明确发生在网络系统内的每一项交互信息，预防外部攻击。

防火墙技术的属性：（1）筛选安全防护策略，确保安全策略能够通过防火墙的防护体系；（2）完整记录信息活动，检测攻击行为，及时提供报警和限制服务；（3）容纳全部信息，维护整体计算机网络。

2 计算机网络系统的安全攻击

计算机网络系统位于信息环境中，网络遭遇的安全攻击属于防火墙技术重点防护的内容。因此，分析计算机网络系统的安全攻击，如下：

2.1 IP攻击

攻击者选择攻击目标群，设置IP攻击路径。首先攻击者向目标主机发送安全信息，获取主机信任，锁定攻击目标，通过信息模式发送虚假IP，当IP欺骗计算机网络安全的保护措施后，虚假IP转化为多项攻击行为，读取用户信息，篡改服务项目，同时安置在用户难以发现的位置，准备随时进行非法攻击。

2.2 拒绝服务

拒绝服务的攻击利用系统漏洞，攻击者向计算机发送攻击数据包，导致主机瘫痪，不能提供任何网络服务[1]。拒绝服务的攻击具备毁灭性特点，攻击者不定时、不定向的发送攻击数据包，计算机无法承担高负荷的数据存储，快速进入停滞或休眠状态，即使用户发送服务请求，计算机因失去服务能力，不能处理用户请求，完全陷入拒绝服务的状态，此时服务器处于正常接收状态，用户只能觉察到服务器不工作，实质已经呈现被攻击状态，丧失服务能力。

2.3 端口攻击

计算机包含多项端口，如：远程、协议、共享等端口，为计算机系统运行提供端口服务。用户并未意识到端口的攻击影响，针对比较常用的端口实行防火墙处理，其余均未实行防护措施。计算机在投入运行时，大部分端口处于开放状态，为攻击者提供硬性攻击路径，攻击木马在端口处的攻击处于零防御状态，所以用户需要关闭不常用端口，切断攻击路径，同时利用防火墙技术检测，防止遗漏端口保护。

2.4 程序攻击

计算机网络运行程序起初设计时，为满足功能需求，采用辅助程序，被称为“后门”，辅助程序具有通道特性，在程序设计完成后需要关闭，但是编程人员并没有关闭辅助程序，攻击者攻击某项运行程序时，首先检测是否留有后门，一旦检测到很容易攻入程序内部，强力毁坏计算机文件、数据。辅助程序是计算机网络运行的安全隐患，必须采用恰当的防火墙技术，才可避免程序攻击。

3 防火墙技术在计算机网络安全中的应用

防火墙技术主要隔离计算机网络的内网与外网，形成稳定的保护途径，有效识别外部攻击，具体分析如下：

3.1 代理服务器的应用

代理服务器是防火墙技术的一类，服务器为网络系统提供代理服务，代替真实网络完成信息交互[2]。例如：计算机网络信息由内网传输到外网时，自身携带IP信息，如果IP被外网攻击者解析并跟踪，很容易将病毒或木马带入内网，病毒攻击内网后窃取数据，利用代理服务器，为交互信息提供虚拟的IP，以此隐藏真实IP，外部攻击者只能解析虚拟IP，不会获取任何真实信息，保护内网信息。代理服务器起到中转作用，控制两网信息的交互过程。代理服务器在账号管理、信息验证等方面具有明显的应用优势，在安全性能方面要求较高，满足计算机网络的安全需求。代理服务器的构建比较严谨，必须在应用网关的条件下，才能实现信息保护，所以此类防火墙技术虽然防护能力高，但是运用复杂，用户使用时，最主要的是通过网关提供稳定的网络性能，营造优质的网络保护环境。

3.2 包过滤技术的应用

包过滤技术具有信息选择的特点，此类技术获取传输信息后比对原有的安全注册表，判斷传输信息是否安全。以网络传输的目的IP为例，分析包过滤技术的应用[3]。包过滤技术主动获取传输信息的目的IP，解析目的IP的数据包，数据包内包含目的IP的源信息，能够作为标志信息，包过滤技术将数据包与用户安全注册表进行对比，识别数据内是否含有攻击信息，确保安全后执行数据传输任务。包过滤技术将计算机内、外网分为两类路径，控制由内到外的信息传输，在由外到内的传输过程内，不仅发挥控制作用，还会提供限制功能，包过滤技术既可以应用在计算机主机上，又可以应用在路由器上，所以包过滤技术又分为开放、封闭两种应用方式，主要根据计算机网络安全的实际情况选择，提供对应服务。包过滤技术受到端口限制并不能实现全网保护，所以兼容能力偏低。

3.3 复合技术的应用

复合技术体现综合防护的优势，防火墙融合代理和包过滤两类技术，体现更稳定的防护方式，弥补防火墙技术的不足之处。基于代理与包过滤的参与下，防火墙技术逐步形成系统性的保护类型，保障防火墙技术的灵活性[4]。目前，防火墙技术表现出混合特性，复合体现代理与包过滤的双向优势，最主要的是以此两类技术为主，融入多项安全技术，结合分析计算机网络安全的运行实际，确保防火墙技术在计算机网络受到攻击危险时，可以快速提供防御服务，体现防火墙技术的策略性。复合技术为计算机网络安全提供多级防御，防止外网攻击，主动监测内网信息。复合防护方式有：（1）提供认证机制，确保网络交互的所有信息处于安全约束的状态，形成动态过滤的防护方式；（2）主动隐藏内部信息，形成智能化的感应方式，一旦出现网络攻击，立即采取报警提示；（3）加强交互保护的能力，发挥复合技术的优点，有利于提升防护价值，确保实时维护。

4 结束语

计算机网络应用规模逐步扩大，促使网络运行面临严重的安全问题，科学利用防火墙技术，解决计算机网络中的安全问题，有效保护网络安全。防火墙技术在计算机网络安全发展的过程中，体现出变革与更新特性，实时保护计算机网络系统，避免计算机遭遇外网攻击，确保内网环境的安全。由此可见：防火墙技术在计算机网络安全中占据重要地位。

参考文献：

[1]防火墙技术在网络安全中的应用[J].科技资讯，2012（09）：23.

[2]网络安全与防火墙技术的研究[J].网友世界，2011（25）：13-15.

[3]浅析防火墙技术在网络安全中的应用[J].云教育，2013（14）：112.

[4]防火墙技术与现代网络安全防范体系的关系[J].现代计算机，2012（05）：108.

新型防火墙技术及其发展趋势 篇7

防火墙是指设置在不同网络 (如可信任的企业内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它几乎是维护网络安全必不可少的组成部分, 通常部署在网络的出入口处, 通过执行一定的规则控制内外网络的数据流, 从而控制用户对网络资源的访问, 保证内部网络的安全。防火墙技术是当今最受关注、应用最广泛的一种网络安全技术。本文对比分析了传统防火墙技术, 对当前新型防火墙技术及其发展趋势进行了讨论, 旨在帮助读者全面认识和了解防火墙技术。

1 传统防火墙技术的发展阶段

防火墙保护受信任网络的方法既取决于防火墙本身, 也取决于防火墙所使用的策略或方法。传统的防火墙技术从总体上可以分为:包过滤和应用代理两大类。其中包过滤又可分为:简单包过滤和状态检测包过滤。应用代理又可分为:电路层网关和应用层网关。

1.1 简单包过滤技术

简单包过滤是第一代防火墙技术, 最早出现于1985年, 是从Cisco的IOS软件中分离出来的, 即对流经网络防火墙的所有数据包逐个检查, 并依据所制定的安全策略来决定是否允许数据包的通过。该技术的基础就是对数据包结构进行分析, 一般基于源地址和目的地址、应用或协议以及每个IP包的端口号来做出通过与否的判断, 其包过滤规则通常包含以下五元组:<协议类型, 源地址, 目的地址, 源端口, 目的端口>, 对每一个数据包的头部都要进行检测, 然后决定是否要将这些数据包转发到下一跳, 或者决定丢弃数据包, 或者拒绝数据包。

简单包过滤防火墙简洁、速度快、费用低, 并对用户透明, 但对网络的保护有限, 因该技术大多在IP层实现, 只检测当前正在通过的单一的数据包头信息, 不深入检测数据包的有效数据, 对更高协议层的信息无理解能力。并且它要求所有可能用到的端口都必须打开, 如允许建立HTTP连接, 就要打开1024以上所有的端口, 这就增加了被攻击的可能性。

1.2 电路层网关代理技术

电路层网关代理技术是第二代防火墙技术, 于1989年至1990年间由美国电报公司贝尔实验室的Dave Presotto和Howard Trickey提出。该技术建立在传输层上, 不允许内部端点与外部端点直接进行TCP连接, 而是由它建立两个TCP连接:一个在防火墙与内部主机之间, 另一个在防火墙与外部主机之间, 对从受信任的网络发到不受信任的TCP连接进行中转。在中转过程中, 源IP地址被转换成电路层网关的地址, 在外界看来是网关和目的地址在进行连接。

电路层网关工作在传输层, 更多的是面向非交互式的应用程序, 在用户通过了最初的身份验证之后, 就允许用户穿过网关来访问服务了, 在此过程中, 电路层网关只是简单地中转用户和目的服务器之间的连接而已, 无法检查应用层级的数据包。另外由于要实现统一的认证和代理, 标准的TCP协议中各种应用的客户端软件就不适用, 所以必须分别修改各个客户端服务程序, 透明性差。

1.3 应用层网关代理技术

应用层网关代理技术是第三代防火墙技术, 于1990年至1991年间由美国电报公司贝尔实验室的Bill Cheswick和Marcus Ranum在他们的论文中第一次提到。采用这种技术的防火墙工作于应用层, 专门针对特定的应用层协议, 通过编程来弄清用户应用层的请求, 检查进出的数据包, 并能在用户层和应用协议层间提供访问控制, 通过网关复制传递数据, 防止在受信任服务器和客户机与不受信任的主机间直接建立联系。

具体的实现过程如下:用户通过TCP/IP应用层协议 (比如HTTP或FTP) 来连接代理, 代理询问用户要访问的目的主机, 并要求提供用户ID和身份验证信息。当用户完成应答后, 代理连接目的主机上的响应服务, 并在两个端点之间转发包含应用服务数据的那些TCP分段。如果代理没有实现某种特定应用服务, 那么就不支持该服务, 用户的数据就不能通过防火墙继续转发。因此可以通过配置代理服务器, 使它只支持应用服务中网络管理员认为可以接受的那些功能, 而同时拒绝其他功能。应用层网关的工作示意图如图1所示。

应用层网关能够理解应用层上的协议, 做复杂一些的访问控制, 并做精细的注册和审核。但每一种协议都需要相应的代理软件, 使用时工作量大, 效率不如包过滤防火墙, 而且有的缺乏“透明度”。

1.4 状态检测包过滤技术

状态检测包过滤SPI (Stateful Packet Inspection) , 又称动态包过滤, 是第四代防火墙技术。1992年由USC信息科学院的Bob Braden开发了基于动态包过滤技术的第四代防火墙, 后来演变为状态检测包过滤防火墙。

每个网络连接通常包括以下信息:源和目的IP地址、源和目的端口号、协议类型、连接状态 (适用于TCP) 、协议相关信息和超时时间等。防火墙把这些信息叫做状态。SPI技术, 采用的是一种基于连接的状态检测机制, 以会话为单位进行检测, 将属于同一连接的所有包作为一个整体的数据流来看待, 构成连接状态表, 用于记录上述的状态信息, 对每一个通过防火墙的数据包都要进行检查, 看这些数据包是否属于一个已经通过防火墙并且正在进行连接的会话, 或者基于一组与包过滤规则相似的规则集对数据包进行处理。通过规则表与状态表的共同配合, 对表中的各个连接状态因素加以识别, 并且连接状态表里的记录可以随意排列, 有利于提高系统的传输率。图2为状态检测包过滤的工作流程图。

使用SPI的防火墙既有包过滤机制的速度和灵活, 也有应用级安全的优点。和简单包过滤防火墙相比:连接表的使用降低了把数据包伪装成正在使用的连接的一部分的可能性;它还能对待定类型的数据进行检测判断命令是否正确。和应用代理防火墙相比:对网络内部的主机来说, SPI防火墙仅对数据包的数据部分查找特定的数据串, 并不提供与应用级防火墙相同程度的保护, 不行使代理功能, 也不在源地址和目的地址之间建立中转连接。因此SPI防火墙不但能提供更大的吞吐量 (在原始带宽和连接数上) , 而且能够对每一个数据包进行更快的处理。

2 新型的防火墙技术

2.1 深层检测防火墙技术

应用代理和状态检测防火墙都不能阻止大规模的网络攻击, 例如冲击波、振荡波等。针对应用层攻击的特殊性和复杂性, Net Screen公司成功地开发了一种既发挥状态检测技术优势又整合主要入侵防护技术, 并可以在周界实现应用层攻击防护的新技术, 称为深层检测技术。

深层检测防火墙在接收到网络流量后, 将需要进行内容扫描的数据流定向到TCP/IP堆栈, 其他数据流直接定向到状态检测引擎, 按基本检测方式进行处理。定向到TCP/IP堆栈的数据流, 首先转换成内容数据流, 服务分析器根据数据流服务类型分离内容数据流, 传送到一个命令解析器中。命令解析器定制和分析每一个内容协议和数据流, 检测病毒和蠕虫:如果是一个HTTP数据流, 则命令解析器检查上载和下载的文件;如果是Mail类型, 则检查邮件的附件;如果包含附件或上载/下载文件, 附件和文件将传输到病毒扫描引擎;所有其他内容传输到内容过滤引擎, 启动内容过滤, 数据流将根据过滤的设置进行匹配, 通过或拒绝数据。图3为深层包检测的工作示意图。

深层检测防火墙技术在状态检测的基础上, 整合了入侵防护技术, 不仅能对网络层的流量进行状态检测, 而且能对应用层的流量进行深层检测, 无论是在检测技术、检测范围、高可用性以及管理性方面都具有革命性的突破, 对应用层攻击提供了强大的防护能力。

2.2 流过滤防火墙技术

流过滤是东软集团提出的一个新型防火墙技术架构, 在其产品Net Eye3.0中实现。它是融合状态检测包过滤、深度检测和应用代理安全性和优点为一体的全新的防火墙体系结构。

其基本原理是在状态检测包过滤的基础上通过专门设计的内嵌的TCP协议栈, 实现在TCP层对应用协议信息流的透明过滤。与深度检测技术相似, 该技术的核心就在于其专用的“TCP”协议栈, 它涉及到报文的识别、截取、滞留重组、把重组的信息流交给应用层过滤逻辑进行过滤、报文的合法转发等, 借助于通用操作系统中标准TCP协议, 对出入防火墙的数据包进行完整的重组, 重组后的数据从操作系统提供的接口 (Socket) 中以流的方式交给应用层过滤逻辑进行过滤, 从而可以有效识别并拦截应用层的攻击企图。

在这种机制下, 从防火墙外部看, 仍然是包过滤的形态, 工作在链路层或IP层, 客户端在规则允许时可以直接访问服务器, 但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话, 数据是以“流”的方式从一个会话流向另一个会话, 流的中间实施是防火墙的应用层策略, 因此防火墙可以在任何时候代替服务器或客户端参与应用层的会话, 从而起到了与应用代理防火墙相同的控制能力。流过滤防火墙体系结构如图4所示。

3 防火墙的发展趋势

未来的防火墙发展朝高速、多功能化、更安全的方向发展。

实现高速防火墙, 可以应用ASIC硬件加速技术、FPGA和网络处理器等方法。其中以采用网络处理器最好, 因为网络处理器采用微码编程, 可以根据需要随时升级, 甚至可以支持IPv6;并且网络处理器中集成了很多硬件协处理单元, 通过算法也比较容易实现高速。

防火墙将会集成更多的网络安全功能, 入侵检测、防病毒、防御拒绝服务攻击等安全技术都可以模块形式安装到防火墙的机箱内。既节省宝贵的机柜空间, 又能为企业节约一部分安全支出, 更主要的是可以实现网络安全设备之间的联动。

防火墙将会更加的行业化。由于现在的防火墙都是集大成于一身, 可以适合国内各行业的安全需要。但对于一些特殊性、敏感性的行业用户, 大众化的防火墙是达不到最终要求的。防火墙厂商将会根据不同的行业需求生产出相应的产品。

4 结论

本文全面介绍了防火墙技术的发展历程, 并对防火墙技术的核心进行归纳比较, 使读者对防火墙的技术及其应用有一个全面的认识和了解。从防火墙的技术发展上来看, 防火墙经历了简单包过滤、电路层网关代理、应用层网关代理、状态检测包过滤这些传统的防火墙技术, 并随着病毒和攻击的复杂性, 又诞生出了深度检测、流过滤等新型防火墙技术, 这些新型防火墙技术, 基本都在状态检测包过滤技术的基础上, 融合了其他的防护技术, 如入侵检测技术、应用代理技术等向着多种技术整合的方向发展, 未来的防火墙技术将更加看重防火墙的高速、安全、多功能化和更加专业化的性能指标。

参考文献

[1][美]Keith E.Strassberge Richard, J.Gondek Gary Rollie等, 李昂, 刘芳萍, 杨旭, 程鹏等译.防火墙技术大全[M].北京:机械工业出版社.2003.3.

[2]李赛峰, 景建勋.防火墙技术发展的分析与研究[J].网络安全技术与应用.2003.6.

[3]翟钰, 武舒凡, 胡建武.防火墙包过滤技术发展研究[J].计算机应用研究.2004.9.

[4]莫闯.防火墙安全技术分析比价[J].贵州教学学院学报 (自然科学) .2004.

[5]NetScreen亚太区高级市场总监Paul Serrano.枕戈待旦.迎接应用层攻击挑战[J].Netinfo security2004.

应用层防火墙技术及发展 篇8

关键词：防火墙,网络层,应用层

1、引言

近年来, 信息化浪潮席卷全球, Internet以惊人的速度向前发展, 政府、企业等各种单位都不可避免地与外部进行着信息共享和交流, 但随之而来的是层出不穷的各种网络攻击, 网络防火墙的出现对于防御这种攻击起到了很好的效果。网络防火墙主要用于对往来的网络通信进行扫描, 过滤掉非法的请求 (黑客攻击) , 它做为一个基本的内部网络与外部网络之间的一种安全防范系统, 通过它可以隔离风险区域 (即Internet或有一定风险的网络) 与安全区域 (局域网) 的链接, 同时不妨碍人们对风险区域访问。一般防火墙具备如下功能:1) 允许网络管理员定义一个中心点来防止非法用户进入内部网络;2) 防止入侵者接近防御设施;3) 允许用户动态的配置规则, 过滤有害信息;4) 限定用户访问特殊站点、监视网络访问。

防火墙已经出现多年, 按其实现技术来分, 防火墙可以分为如下几类:包过滤防火墙、代理服务防火墙、地址翻译 (NAT) 、直通管道、状态监控防火墙等。传统防火墙一般采用包过滤技术、地址翻译技术, 主要工作网络层、链路层[1]。

2、传统防火墙技术原理

传统的防火墙主要是包过滤防火墙, 实现网络层控制。包过滤防火墙一般位于内部网络和外部网络的边界上, 是内外网络通信的唯一出入点, 所有进出内部网络的流量数据包首先都要经过防火墙的审查。

包过滤防火墙主要是通过截获网络中的数据包, 然后对数据包根据协议进行解析, 利用报头中的关键字段和预先设定好的过滤规则作比对, 来决定是否转发该数据包, 规则中一般包括源和目的MAC (物理地址) 、源和目的IP、源和目的PORT (端口) 等字段。网络层中数据包的封装格式原理如图1所示:

包过滤防火墙由于设计简单等原因具备如下优点:1) 可以配置成无状态的包过滤路由器, 因而实现包过滤几乎没有任何耗费;2) 另外它对用户和应用来说是透明的, 每台主机无需安装特定的软件, 使用起来比较方便。

但包过滤防火墙定义包过滤是个复杂的工作, 网络管理员需要对各种因特网服务、报头格式以及希望在每个域找到特定的值有足够了解, 所以包过滤防火墙更具有局限性:1) 面对复杂的过滤需求, 对过滤规则将是一个冗长而复杂、不易理解和管理的集合, 同样也很难测试规则的正确性;2) 随着过滤数目的增加, 将降低防火墙数据包的吞吐量, 同时耗费更多CPU时间而影响系统性能;

随着应用层各种应用的丰富, 越来越多的应用层协议出现, 随之而来的黑客可以越过网络层协议而直接在应用层发起攻击。而传统的包过滤防火墙主要针对通用的TCP/UDP、IP等协议进行处理, 而很难对应用层各种协议包进行分析处理, 难以防范各式各样具有针对性的网络攻击[2]。

3、应用层防火墙介绍

3.1 应用层防火墙的必要性

上述提到的包过滤防火墙主要工作在网络层, 而采用网络地址转换 (NAT) 技术的防火墙主要工作在链路层。这些防火墙在OSI网络模型中的工作层次较低, 难以过滤更复杂的连接。

随着技术的发展和进步, 人们需要对数据包进行更高层次的检查和过滤。例如, 用户可以通过远程登录到一个开放的外发端口, 而此端口并不是一个telnet端口 (从23号端口登录到80号端口) , 这意味着用户可以轻易地绕过传统网络层或电路层的安全防御。支持访问列表的路由器会准许用户连接到一个端口上, 虽然此端口并不是远程登录端口, 而是另外一种服务的端口。这意味着网络层或电路层防火墙在数据包通过时并没有实施检查, 由此便造成恶意数据包可以在网络上传输。

会话层防火墙工作在OSI模型的第五层。在上个世纪的90年代, 这种技术对于保护网络是足够的。但是, 随着攻击发展到应用层以及互联网的增长, 会话层防火墙难以应对。其结果是没有应用层保护机制的防火墙将导致错误的配置, 而且操作系统的漏洞会直接暴露到互联网上, 这是由于所有的会话层防火墙通过提供一张路由表和访问控制列表而提供一种基本的保护措施。

在会话层防火墙上的一些小进步使得防火墙可以在更深的层次上检查常见协议的数据包, 不过用backtrack等工具很容易就可以绕过这些措施。在今天的网络环境中, 合适选择是部署应用层防火墙, 它不仅仅可以实施ACL (访问控制列表) 及目标端口等的检查, 在与现代的应用程序交互时, 还可以进行更深层次的数据包检查、状态连接管理、应用层过滤等至关重要的功能。因此, 许多重视安全性的单位在面临会话层和应用层防火墙的选择时, 会坚定地选择后者[3]。

3.2 应用层防火墙的功能和发展

在上个世纪的90年代, 主流的代理服务器登上了舞台, 它集成了基本的防火墙技术。这种"代理服务器防火墙"能够劫获源主机和目标主机之间的通信。因为"代理服务器防火墙"位于中间的位置, 所以它拥有根据预先定义的规则集来检查数据包的能力。

应用层防火墙在两种方向上都有"代理服务器"的能力, 可以保护主体和客体, 防止其直接联系。代理服务器可以在其中进行协调, 这样它就可以过滤和管理访问, 也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现, 如用户和用户组访问的LDAP。

应用层防火墙还能够仿效暴露在互联网上的服务器, 因此正在访问的用户就可以拥有一种更加快速而安全的连接体验。事实上, 在用户访问公开的服务器时, 他所访问的其实是第七层防火墙所开放的端口, 其请求得以解析, 并通过防火墙的规则库进行处理。一旦此请求通过了规则库的检查并与不同的规则相匹配, 就会被传递给服务器。这种连接在是超高速缓存中完成的, 因此可以极大地改善性能和连接的安全性。

3.3 应用层防火墙实现原理

笔者设计并实现了某应用层防火墙AppProxy-M, 该应用层防火墙目前主要实现了对SQLServer数据库服务器代理、FTP服务器代理、TELNET服务器代理的功能, 并对其进行安全控制。通过该应用层防火墙的实现原理可以了解到一般应用层实现的基本原理, 如图2:

该防火墙的实现主要有四个模块组成:协议解析模块、安全控制模块、服务器驱动模块、控制管理模块。网络数据包进入后首先到达协议解析模块进行初步解析和筛选, 通过筛选的数据包送往安全控制模块, 安全控制模块根据预先设定的规则进行对数据包细粒度的控制, 安全通过后返回协议解析模块, 协议解析模块根据需要数据包头特征值做一标记提交给数据库驱动模块, 数据库驱动模块根据标记选择相应的服务器适配器来送往真正的服务器并等待返回结果, 返回结果不再经过安全检查, 直接返回客户端。对正常、合法的客户端来说, 连接代理防火墙与连接真正服务器基本一致。

4、小结

随着互联网的发展各种各样的应用和协议不断涌现, 但更需要认识到的是一些更加结构化的应用层攻击正不断地崭露头角, 对付这种新威胁的最有效措施便是实施更加精密复杂的应用层防火墙。未来防火墙将会面临更多协议的解析、更大数据流量的考验, 为此未来应用层防火墙的实现难度和方向将主要是防护功能面越来越广、粒度越来越细致、性能越来越优越。

参考文献

[1].刘晓红, 纪越峰.下一代应用层防火墙性能及其测试[J].计算机工程, 2006, 6:169-171.

[2].朱鹏.基于状态包过滤的防火墙技术[J].微计算机信息, 2005, 3:197-198.

防火墙技术发展研究 篇9

一、新型外墙保温防火材料发展现状

我国在20世纪初的时候外墙保温防火材料发展得还并不完善, 很多保温防火材料在质量上都有所欠缺, 同时在防火安全技术和制备技术方面也有待提高。但经过这么多年的发展变革, 我国已经发明了新型的外墙保温防火材料, 这种保温材料在质量上有了一定程度的提高, 材料的种类也更具有多样性, 发明了很多的新型材料如防火纤维、玻璃棉等。此外, 由于我国当前的建筑结构往往是以高层建筑为主, 所以在建筑外墙的保温防火材料的选择上一般都会采用较为轻薄的有机防火材料。

二、新型外墙保温防火材料、防火技术与设备技术方面的误区

当前的建筑物外墙的新型保温防火材料通常都采用无机保温不燃材料、颗粒保温复合型材料和热塑热固型无机保温材料。但是在保温材料的应用过程中还是会导致一些火灾的发生, 这是因为在应用外墙保温防火材料的时候遇到了明火和电路火灾, 还有的是因为外界原因引起的火灾延伸到建筑物而产生的。这种火灾一旦发生, 会因外墙的保温材料具有点火性而扩大火势, 从内部引起的火灾也会降低保温材料抵抗火灾的能力, 产生这些后果的原因是目前在我国保温材料应用过程中还是会存在使用不当的问题。

(一) 我国的新型外墙保温防火材料的应用完全模仿国外的形式进行

一些国外的发达国家对新型外墙保温防火材料的应用研究比我国起步要早得多, 所以在漫长的保温防火材料研究历史中, 国外相对就拥有更高的发言权, 他们往往拥有更完善的理论、更丰富的经验和更高级的技术手段, 这些先进的技术经验水平都很值得我们学习研究。但是由于历史国情的不同, 国外和国内的发展都具有不同的发展特点, 这就决定了国外的先进经验我们不能完全照搬照抄, 要有针对性地进行选用。像国外的建筑结构与我国的建筑结构就有很大的不同, 所以在选择保温防火材料方面也要注意区分。此外, 国外的建筑要求标准与我国的也完全不同, 因此在选择防火保温材料的规格方面也要注意其具体的要求, 否则不但不会促进新型外墙保温防火材料的应用发展, 还会阻碍防火安全技术和制备技术水平的提高。

(二) 忽略了外墙保温防火系统的核心问题

在我国, 外墙保温防火的问题不是仅仅做好施工的防火安全问题就可以的, 因外墙保温材料引起火灾原因的多样化, 所以在外墙保温防火系统方面不能单纯靠做好现场的施工防火安全。从真正意义上来说, 外墙的防火设计和材料选择的核心是要以杜绝火灾隐患为主。从这些年建筑物发生火灾的原因来看, 一部分是由于施工过程中没有按照建筑标准进行施工造成的, 另一部分是由于外墙保温材料的放置问题造成的。在建筑中应用外墙保温材料时, 没有注意给保温板添加保护层, 使得保温材料裸露于外部, 而施工工程又较为复杂, 人员密集极易出现明火, 保温材料的裸露就埋藏了很大的防火安全隐患。同时, 保温材料的使用会使得在发生火灾时增加室内的可燃性材料, 增加现场救援难度, 扩大火势范围。保温材料一旦投入使用, 它面临的是一个长期被考验的过程, 在这过程中, 人们要随时提高防火安全意识, 增强防火安全的技术水平。

三、新型外墙保温防火材料、防火安全技术与制备技术的应用对策

目前, 我国的新型外墙保温防火安全技术和制备技术越来越受到广大人民和社会的关注, 所以我们要不断地提高防火安全技术和制备技术的研究和生产水平, 发挥它们在防火功能方面的作用。

(一) 根据国家自身的发展特点来有针对性地提高防火安全技术和制备技术水平

我国的防火安全技术和制备技术水平的提高应该在借鉴国外先进经验的基础上进行, 但这些先进的经验要在我们针对自身的使用特点进行改良后才能加以应用。同时, 我们也要不断地研制符合中国建筑结构要求和标准的新型外墙保温防火材料和制备技术, 增强自主创新能力, 推动外墙保温防火安全技术的发展与进步。

(二) 充分进行研究与试验, 制定合理完善的外墙保温防火材料应用标准

要想研制出高质量的外墙保温防火材料就需要不停地对各种防火材料的防火和保温性能进行研究与试验, 在反复试验中归纳错误, 总结经验, 不断对外墙防火保温材料进行改进和提高。另外, 还要进一步制定合理完善的外墙保温防火材料、技术应用标准, 对保温和防火的性能进行规划分级, 确保建筑的防火安全性。

(三) 加大对外墙保温防火材料研究的投入力度

要想确保新型的外墙保温防火材料的使用时长, 就要加大对材料研究的投入力度, 培养专业性人才进行研究。并且要对保温材料在投入使用之后也进行定期的维护和监测, 加强建筑管理人员的素质水平, 保障防火保温材料的使用安全。

(四) 建立严格的外墙保温防火材料市场制约监督体系

当前国内的外墙保温防火材料建筑市场没有形成严格完善的制约监督体系, 这就使得保温防火材料在没有监督机构的监督之下会产生偷工减料、质量水平不达标的情况, 为以后建筑物的防火问题留下了隐患。所以要加大对建筑市场的监督力度, 保障建筑外墙保温防火市场的健康平稳发展。

四、结语

综上所述, 新型外墙保温防火材料的应用是加强建筑防火的有力举措, 同时还要注重防火技术和设备技术的相关研究, 全面提高建筑的防火保温水平, 相信未来的外墙保温防火技术会愈加精湛。

参考文献

[1]卓萍, 王国辉, 杜霞, 张晓颖, 胡胜利.我国建筑外保温系统发展动态及趋势[J].消防科学与技术, 2011, (01) .

[2]郭铁男.中国火灾形势与消防科学技术的发展[J].消防技术与产品信息, 2005, (11) .

[3]欧志华, 马保国, 蹇守卫.建筑外墙外保温系统防火的原则与思路[J].消防科学与技术, 2010, (04) .

[4]闵峰, 邹征.探析建筑外墙保温技术中节能材料的应用[J].江西建材, 2014, (22) .

防火墙技术发展研究 篇10

随着科技创新的发展,以计算机为基础、互联网络为支撑的信息技术正在引领时代发展的潮流。并且由于近15 年的发展,人们已经认可了“信息化时代”,并且在各个领域不断对其进行创新研究与开发应用。以我国为例,出现了网络购物、网络征婚与网上订餐等等,而且由于国家的提倡,在不久的将来,互联网技术与实体企业的结合,将会给我国的发展带来新的动力,并对我国的产业结构调整带来新的机遇。本文以网络安全问题为主题,集中讨论信息化背景下的防火墙技术。首先对其进行了简要概述,主要从网络安全体系的构建切入,展开对防火墙技术的详细分析,着重阐述了防火墙技术的分类、功能、特点,并对其技术优势进行了说明,而且对其缺陷也做了介绍,最后,对其未来发展进行了展望。希望通过本文初步分析可以引起更多的交流与讨论,同时希望可以为该方面的研究提供一些可资利用的信息,以供参考。

1 概述网络安全问题

因互联网的迅猛发展与迅速的普及化,以及通过网络的犯罪活动等,暴露了诸多网络安全隐患,对人们使用网络产生了一些负面影响,所以,应该通过网络安全体系的构建为用户提供更为安全可靠的网络使用环境。近些年来,我国了出现了一些杀毒软件,而且随着功能的不断更新,技术的完善化,为网络安全提供了保障。其中,最为主要的还是通过防火墙技术来达到对不安全因素的预防,同时对内部网络的信息安全提供检查与监测,并为其提供安全服务。从计算机安全体系结构方面分析,其最终的目标即在于保护信息传输系统的安全,为用户提供隐私保护,而且对一些可能性的破坏现象进行预防,从而为用户安全使用网络提供可靠的环境,在其构建过程中,注重用户身份验证、权限控制、数据权限、方式控制、安全审计、病毒防治、加密等等,而且主要集中于安全传播、安全过滤,控制非法活动、保证计算机用户的安全。

2 防火墙技术

2.1 防火墙技术的类型

从分类看,防火墙技术主要包括包过滤、代理、状态检查、地址翻译、虚拟专用网及内容检查技术。

首先,包过滤技术,是指对数据包的选择性过滤,但要求有一定的网络位置;其中最主要的是包检查模块,安装位置在路由器,也可安装于网关,其有效性集中体现在提前处理,也就是说,在TPC处理IP包之前,进行提前处理。从基本原理分析,因为检查模块的处理功能,可以使进出站的数据得到防火墙的检查、验证,若有不符合规则的数据包存在,则会出现报警处理;若有需丢弃的数据包,通过过滤策略,可进行回复选择,在这一方面,需要谨慎处理,因为攻击者往往会对拒绝包类型进行分析,并通过这一条件猜测包过滤规则等。

其次,代理技术,主要是指对特定应用服务的有效控制,针对性强,每一个特定应用服务都可对应控制。其作用集中在应用层,状态性能突出,对部分与传输相关的状态容易呈现,具体来讲,即是作为一个中间转接站,完成外部网与内部网申请服务的对接,从内部网络看,只接受代理的服务请求,而且对外部网络及其它节点的直接请求,则会采取拒绝态度,从功能角度分析,代理服务避属于堡垒主机或双宿网关,可以有效的为网络安全提供保障。

第三,状态检查技术,主要是指可实现防火墙功能的一项技术,其作用在网络层。如同包过滤技术一样,它也有一个检测模块,但不同的是,这一检测模块主要是在网关上执行网络安全策略的软件引擎。可以抽取网络通信中的状态信息,并对其进行监测。从功能看,可支持多种协议及应用程序,对应用与服务功能也容易实现扩充,尤其是可以完成对RPC、UDP等端口信息的监测,优于包过滤与代理技术。

第四,地址翻译技术,是指对IP地址的代替,用一个代替另一个。一是为了隐藏内部网的IP地址;二是使内部网IP地址无效,从而防止外部网的讯问,但能够确保内部网络间的互访。

第五,虚拟专用网技术,主要是临时性的安全连接,需要在公共网络中完成,可以有效保证内部网在公用网络中的安全与稳定。拥有加密数据、信息认证、身份确认、访问控制等功能,从目前来看,受到了网络安全技术人员的追捧。

第六,在高层服务协议数据监控方面,需要用到内容检查技术,从而为数据流提供安全保障,在分析数据方面,它有高度的智能化。

2.2 防火墙技术的功能与特点

网络攻击与防火墙技术,二者如同水火,是一对矛盾,也是网络中的两个主要对手,攻击者属于破坏者,防火墙属于保护者,不断在互联网络上上演着“成功与失败”。从功能来看,防火墙技术是网络安全系统的重要保障,主要是利用控制与监测手段达到对信息的保护;从发展阶段看,它已经经历了四大阶段,基本功能体现在对进出网络数据包的过滤,对进出网络的访问进行授权限制,对进出防火墙的信息内容、活动进行记录、对网络攻击进行检测与报警。从优势方面看,防火墙属于访问控制设备,主要针对内部网与外部网,防火墙因其基本功能,可以有效地为网络系统提供安全可靠的保障,比如,针对易受攻击的服务,可以通过隔离,将安全程度较低的服务放在受保护子网之外,从而降低使用风险,预防攻击;针对访问,防火墙可以对网点系统访问进行控制,还可以通过防火墙系统,保障改动软件、附加软件的安全,但需将这些软件放置在防火墙系统内;再如执行网络政策、封锁域名信息、监控网络使用状态等优势都非常明显。从缺陷方面看,主要集中于防火墙无法对内部网络用户的攻击进行预防,而且由于安全性能的提升,会限制一些网络服务,还有对于可能绕过防火墙的攻击也束手无策,尤其是因网络技术的不断更新,新型的攻击也不易防御,因此,应该认识到防火墙技术与攻击技术是此消彼长的关系,需要不断的进行跟进与研究,才能更好的做到为网络安全提供可靠的保证。

2.3 防火墙技术的发展

以目前的发展态势分析,上世纪九十年代中期以防火墙技术加密码技术,渐渐走向成熟,尤其是近二十年的发展,形成了四个主要的发展阶段,首先是路由器阶段,主要是通过路由器分组过滤达到对网络访问的控制,具体是对其数据包源地址、目的地址、UCP端口号、TCP端口号等方面的参数进行检查,体现了防火墙与路由器的结合及一体性,但明显的缺点在于,黑客容易通过伪造路由信息,透过防火墙达到攻击的目的,这是因为信息以明文传送造成;另一个即是因路由协议存在较多漏洞,因而易被外部网探入,还有在分组过滤规则方面与配置方面复杂性的增加,降低了整体性能与管理难度。其次,在代理服务器阶段,这一阶段的显著特征是独立过滤功能,并且由于审计与报警功能的添加,可以利用模块化的方式来达到安全控制与管理,但因其引起了运行速度的变慢,所以就在很短时间内出现了代替品,也即是第三个状态监控功能的阶段。在此阶段,可以通过网络层,进行数据包内容的实时性检查、监控,对用户的编程空间起到了较好的保护作用,由于原码的保密性质,安全性不能保证,而且因防火墙与操作系统多属一家,因而操作系统商家一般不对安全性负责。因而随着时间推移与技术进步,目前出现了较多带有安全操作系统的防火墙,因其应用了诸多新技术,如安全服务网络、身份鉴别、加密技术、定制化服务、网络诊断、清除等等安全技术,因而可以对各种攻击手段进行较好的防护。因此,从其现在的发展以及对于未来的发展来进行一番展望,可以认识到它的可能性发展动向,比如,向智能化、集成化方向的转向、自动杀毒功能的实现、人机交互界面的升级与优化等等。

3 结束语

总而言之,信息化已经成为了时代发展的主旋律,由于有了互联网络,人类的生活方式发生了巨大转变,而且生活形态有了质的变化。因而,在信息化背景下,对网络安全问题及其体系需要增强建设,而且应该对防火墙技术加大研究力度,做好网络防御工作。另一方面,应该加大对于网络犯罪的打击力度,并对其犯罪手法进行细致的分析与研究,如此,有助于提升互联网络安全性能的提升,并提高对其防护的技术水平。从发展的角度看,伴随算法优化,过滤功能不断扩展及检测与预警功能的提升等,防火墙技术将会更全面、综合性更强,并且为我国的网络安全建设工作提供新的力量。

参考文献

[1]高卓,罗毅,涂光瑜等.变电站的计算机网络安全分析[J].电力系统自动化,2012.

[2]林晓东,杨义先,马严等.Internet防火墙系统的设计与实现[J].通信学报,2014.

[3]吴国威.数字化变电站中信息处理及网络信息安全分析[J].继电器,2013.